Linee guida per la sicurezza di Application Integration
Questo documento descrive le linee guida e le considerazioni sulla sicurezza per il prodotto di integrazione delle applicazioni. Se non hai mai utilizzato
Application Integration, ti consigliamo di iniziare con la panoramica di Application Integration.
Account di servizio
Un account di servizio è un tipo speciale di account utilizzato da un'applicazione anziché da una persona.
Un account di servizio è identificato da un indirizzo email univoco. Per saperne di più, consulta
Account di servizio.
Gli account di servizio possono essere utilizzati per fornire accesso sicuro alle risorse Google Cloud senza condividere le tue credenziali di accesso. In questo modo, viene impedito l'accesso non autorizzato alle tue risorse.
Di seguito sono riportate alcune best practice che puoi seguire quando utilizzi un account di servizio:
Crea un account di servizio separato per ogni attività o applicazione. In questo modo puoi gestire meglio
l'accesso e tenere traccia di quali account di servizio vengono utilizzati per quali attività.
Concedi al service account solo le autorizzazioni necessarie per eseguire le attività previste.
Monitora l'utilizzo dei tuoi account di servizio e controlla i log di controllo per assicurarti che vengano utilizzati come previsto. In questo modo puoi rilevare eventuali accessi non autorizzati o cattivo uso degli account di servizio.
I ruoli personalizzati ti consentono di creare autorizzazioni granulari personalizzate in base alle tue esigenze specifiche. Ad esempio, puoi creare un ruolo personalizzato che consenta a un account di servizio di leggere
e scrivere dati in un bucket Cloud Storage, ma non di eliminarli.
I ruoli personalizzati sono utili per gestire l'accesso alle risorse Google Cloud e garantire che gli utenti e le applicazioni dispongano solo delle autorizzazioni necessarie per svolgere le attività previste.
Un profilo di autenticazione ti consente di configurare e archiviare i dettagli di autenticazione per la connessione in un'integrazione. Pertanto, anziché utilizzare una configurazione di autenticazione
hard-coded, puoi utilizzare la configurazione del profilo di autenticazione integrata che offre
una maggiore sicurezza. Application Integration supporta vari tipi di autenticazione a seconda dell'attività. Per ulteriori informazioni, consulta
Compatibilità
dei tipi di autenticazione con le attività.
Per impedire l'accesso non autorizzato e garantire una maggiore sicurezza, ti consigliamo di utilizzare un profilo di autenticazione se un'attività lo supporta.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-03 UTC."],[[["\u003cp\u003eApplication Integration uses service accounts, which are special accounts used by applications for secure access to Google Cloud resources, preventing unauthorized access.\u003c/p\u003e\n"],["\u003cp\u003eBest practices for using service accounts include creating separate accounts for each task, granting minimal permissions, and choosing more secure alternatives to service account keys whenever possible.\u003c/p\u003e\n"],["\u003cp\u003eCustom roles in Application Integration provide tailored permissions, allowing for fine-grained control over access to Google Cloud resources for users and service accounts.\u003c/p\u003e\n"],["\u003cp\u003eAuthentication profiles offer enhanced security by storing connection authentication details, which is recommended over hard-coded configurations, and varies across the tasks.\u003c/p\u003e\n"],["\u003cp\u003eValidation of service account keys is critical if they were acquired externally.\u003c/p\u003e\n"]]],[],null,["# Application Integration security guidelines\n\nSee the [supported connectors](/integration-connectors/docs/connector-reference-overview) for Application Integration.\n\nApplication Integration security guidelines\n===========================================\n\n\nThis document describes the security guidelines and considerations for the\nApplication Integration product. If you are new to\nApplication Integration, we suggest that you start with\n[Application Integration overview](/application-integration/docs/overview).\n\nService accounts\n----------------\n\nA service account is a special kind of account used by an application, rather than a person.\nA service account is identified by a unique email address. For more information, see\n[Service accounts](/iam/docs/service-accounts).\n\n\nService accounts can be used to provide secure access to the Google Cloud resources without\nsharing your own login credentials. This prevents unauthorized access to your resources.\n\nThe following are some of the best practices that you can follow when using a service account:\n\n- Create a separate service account for each task or application. This lets you better manage access and keep track of which service accounts are being used for which tasks.\n- Grant the service account only the permissions that it needs to perform its intended tasks.\n- Service account keys are a security risk if not managed correctly. You should [choose a more secure alternative to service account keys](/docs/authentication#auth-decision-tree) whenever possible. If you must authenticate with a service account key, you are responsible for the security of the private key and for other operations described by [Best practices for managing service account keys](/iam/docs/best-practices-for-managing-service-account-keys). If you are prevented from creating a service account key, service account key creation might be disabled for your organization. For more information, see [Managing secure-by-default organization resources](/resource-manager/docs/secure-by-default-organizations).\n\n\n If you acquired the service account key from an external source, you must validate it before use.\n For more information, see [Security requirements for externally sourced credentials](/docs/authentication/external/externally-sourced-credentials).\n- Monitor the usage of your service accounts and review the audit logs to ensure that they are being used as intended. This can help you to detect any unauthorized access or misuse of service accounts.\n\nFor more information, see [Best practices for working with service accounts](/iam/docs/best-practices-service-accounts).\n\nCustom roles\n------------\n\nCustom roles let you create fine-grained permissions that are tailored to your specific\nneeds. For example, you may create a custom role that allows a service account to read\nand write data to a Cloud Storage bucket, but not delete it.\nCustom roles are useful in managing access to your Google Cloud resources and ensuring that\nusers and applications have only the permissions required to perform their intended tasks.\n\n\nYou can create custom roles using the [Identity and Access Management (IAM)](/iam/docs)\nand assign the roles to users, groups, or service accounts. For more information,\nsee [Creating a custom role](/iam/docs/creating-custom-roles#creating_a_custom_role).\n\nAuthentication profiles\n-----------------------\n\nAn authentication profile lets you configure and store the authentication details\nfor the connection in an integration. So, instead of using a hard-coded authentication\nconfiguration, you can use the in-built authentication profile configuration which provides\nenhanced security. Application Integration supports various\nauthentication types depending on the task. For more information, see\n[Compatibility\nof authentication types with tasks](/application-integration/docs/configure-authentication-profiles#compatibleTasks).\n\nTo prevent unauthorized access and provide enhanced security, it's recommended\nto use an authentication profile if a task supports it."]]
